JP2007074383A - Information system - Google Patents
Information system Download PDFInfo
- Publication number
- JP2007074383A JP2007074383A JP2005259359A JP2005259359A JP2007074383A JP 2007074383 A JP2007074383 A JP 2007074383A JP 2005259359 A JP2005259359 A JP 2005259359A JP 2005259359 A JP2005259359 A JP 2005259359A JP 2007074383 A JP2007074383 A JP 2007074383A
- Authority
- JP
- Japan
- Prior art keywords
- information
- packet
- traffic
- limit value
- transmitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、情報システムに関し、特に、ネットワーク上を流れるトラフィックの監視を行う情報システムに関する。 The present invention relates to an information system, and more particularly to an information system that monitors traffic flowing on a network.
インターネット等のオープンな情報ネットワークの普及に伴い、悪意ある者による不正侵入やサービス不能攻撃(Dos Attack:Denial Of Service Attack)等の不正アクセスが、セキュリティ上の問題となっている。従来の情報ネットワークにおいては、上記したセキュリティ上の問題に対し、ファイアウォール(Firewall)等のアクセス制御を行うことが可能な装置をネットワーク経路上に設けることで、不正アクセスを防いでいる(例えば、特許文献1参照)。 With the spread of open information networks such as the Internet, unauthorized access such as unauthorized intrusion and denial of service attack (Dos Attack) by malicious persons has become a security problem. In a conventional information network, unauthorized access is prevented by providing a device that can perform access control such as a firewall on the network path in response to the above-described security problems (for example, patents). Reference 1).
以下、図10〜図12を参照して、従来の情報システム100のネットワーク構成を説明する。
図10に示すように、情報システム100は、内部ネットワークLANにおいてネットワークセグメントを構成し、各端末20から送信されるパケットを転送するスイッチ10a、10b及び10cと、内部ネットワークLANと外部ネットワークWANとの間におけるパケットの送受信を制御(アクセスコントロール)するファイアウォールFW、内部ネットワークLAN、外部ネットワークWAN間のパケット転送を中継するルータ30から構成されており、内部ネットワークLAN及び外部ネットワークWANは、ネットワークNを介して相互に通信可能に接続されている。なお、スイッチ内に示された矩形は当該スイッチが有する物理的な通信ポートを意味しており、矩形内の数値は各ポートを識別するための識別番号を意味している。
Hereinafter, the network configuration of the
As shown in FIG. 10, the
図11は、情報システム100のファイアウォールFWにより不正アクセスの検知が行われる際の動作を示したフローチャートである。
ファイアウォールFWは、外部ネットワークWANから送信されたパケットを受信すると(ステップS61)、内部ネットワークLAN−外部ネットワークWAN間におけるセキュリティポリシーが予め規定されたアクセスコントロールテーブル(例えば、送信元及び/又は送信先機器のIPアドレスやTCP/UDPポート番号等を対応付けたテーブル)を参照し(ステップS62)、このパケットに係る一連のトラフィックが許可されたものか否かを判定する(ステップS63)。ここで、許可されていない異常な通信と判定した場合には(ステップS13;No)、このパケットを破棄し(ステップS64)、本処理は終了する。一方、許可された正常なトラフィックと判定した場合には(ステップS63;Yes)、このパケットを内部ネットワークに転送し(ステップS65)、本処理は終了する。
FIG. 11 is a flowchart illustrating an operation when unauthorized access is detected by the firewall FW of the
When the firewall FW receives a packet transmitted from the external network WAN (step S61), the firewall FW has an access control table (for example, a transmission source and / or a transmission destination device) in which a security policy between the internal network LAN and the external network WAN is defined in advance. (Table in which IP addresses, TCP / UDP port numbers, and the like are associated with each other) are determined (Step S62), and it is determined whether or not a series of traffic related to this packet is permitted (Step S63). If it is determined that the communication is not permitted and abnormal (step S13; No), the packet is discarded (step S64), and the process ends. On the other hand, when it is determined that the permitted traffic is normal (step S63; Yes), the packet is transferred to the internal network (step S65), and the process ends.
また、情報システム100に接続された各端末20に不正アクセスを検知する不正検知ソフトウェアを導入することにより、ネットワークの末端において不正アクセスの検知を行うネットワークシステムが提案されている(例えば、特許文献2参照)。
Further, a network system that detects unauthorized access at the end of the network by introducing unauthorized detection software that detects unauthorized access to each
図12は、情報システム100の各端末20により不正アクセスの検知が行われる際の動作を示したフローチャートである。
端末20は、スイッチ10a、10b又は10cからパケットを受信すると(ステップS71)、このパケットに係るトラフィックに異常があるか否かを判定する(ステップS72)。ここで、異常ありと判定した場合には(ステップS72;No)、このパケットを破棄し(ステップS73)、本処理は終了する。一方、異常なしと判定した場合には(ステップS72;Yes)、このパケットに基づいて所定の処理を実行し(ステップS74)、本処理は終了する。
FIG. 12 is a flowchart showing an operation when unauthorized access is detected by each
When the
一方、工場施設等のプラントの制御に係るプラント情報システムの分野においても、近年TCP/IP技術を用いた情報の送受信が行われるようになってきており、上述した情報システム同様のセキュリティ上の問題が懸念されている。特に、プラント情報システムにおいては、生産停止等の経済的な損失が甚大となるため可用性の維持は必須事項となっている。
しかしながら、従来のファイアウォールを用いたシステム構成では、内部ネットワークLAN−外部ネットワークWAN間を通過するトラフィックのみがアクセス制御対象となるため、内部ネットワークLAN内で発生する不正アクセスを検知することができず、不正アクセスに対応することができないため、システムの可用性を維持することが困難である。 However, in the system configuration using the conventional firewall, since only traffic passing between the internal network LAN and the external network WAN is subject to access control, unauthorized access occurring in the internal network LAN cannot be detected. Since it is impossible to deal with unauthorized access, it is difficult to maintain system availability.
また、端末にて不正アクセスの検知を行う構成では、各端末に不正アクセス検知ソフトウェアを導入する必要があるため、コストが増大するという問題がある。また、各端末の計算資源に制限があるため、不正アクセスを検知する機能を追加することが困難である場合がある。また、不正アクセスが検知された端末の物理的位置(どこのスイッチのどの通信ポートに接続されているか)を判定できず、その対応が遅れる可能性があるため、システムの可用性を維持することが困難である。 In addition, in the configuration in which unauthorized access is detected at a terminal, it is necessary to install unauthorized access detection software on each terminal, which increases the cost. In addition, since the computing resources of each terminal are limited, it may be difficult to add a function for detecting unauthorized access. In addition, the physical location of the terminal where unauthorized access is detected (which communication port of which switch is connected) cannot be determined, and the response may be delayed, so system availability can be maintained. Have difficulty.
さらに、上述したファイアウォール等の従来技術は、単独或いは限られたセッションのみのパケットに基づいて不正アクセスか否かを判断するため、内部ネットワークLANに設けられた無線機器等のアクセスポイントや、スイッチの入り口(バックドア)を介してして不正アクセスが行われたことを検知することができず、内部ネットワーク内で行われる不正アクセスに対しては有効な手法とはなりえない。そのため、無線アクセスポイント等の内部ネットワーク内の入り口(バックドア)からの侵入トラフィックを含む各端末間のトラフィックを監視する必要があるが、不特定の端末から不定期に送受信が行われるような動的なトラフィック環境を有するオフィス等の一般の情報システムにおいては、その動的なトラフィック特性により、異常と判断する際の指標の確率が困難であるため、異常か否かの判断を有効に行うことができないという問題がある。 Furthermore, the conventional technology such as the firewall described above determines whether or not the unauthorized access is based on a packet of a single or limited session, so that an access point such as a wireless device provided in the internal network LAN, or a switch It cannot be detected that unauthorized access has been made through the entrance (back door), and cannot be an effective method for unauthorized access within the internal network. For this reason, it is necessary to monitor traffic between terminals, including intrusion traffic from the entrance (back door) in an internal network such as a wireless access point. However, operations that cause irregular transmission / reception from unspecified terminals. In general information systems such as offices that have a typical traffic environment, it is difficult to determine the probability of an index when judging an abnormality due to its dynamic traffic characteristics. There is a problem that can not be.
本発明の課題は、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能な情報システムを提供することである。 An object of the present invention is to provide an information system capable of quickly and reliably detecting and responding to unauthorized access.
上記課題を解決するために、請求項1に記載の発明は、
複数の通信ポートに夫々接続される一又は複数の端末から送信されたパケットを他の端末に転送するスイッチング手段と、前記送信されたパケットに関するパケット情報を生成するパケット情報生成手段と、前記生成されたパケット情報を送信するパケット情報送信手段とを備えたネットワーク機器と、前記ネットワーク機器から送信されたパケット情報を記憶するトラフィック収集サーバと、を有した情報システムであって、
前記収集サーバは、定常運用時におけるトラフィックの特徴を示した指標情報を記憶する指標情報記憶手段と、前記記憶された指標情報と前記受信されたパケット情報とに基づいて当該パケット情報に係るトラフィックが異常か否かを判別する異常判別手段と、前記異常判別手段により異常と判別されたトラフィックに係るネットワーク機器の通信ポートの転送速度を変更する指示情報を生成し、当該ネットワーク機器に送信する異常対応手段と、を備え、
前記転送手段は、前記異常対応手段からの指示情報に基づいて、当該指示情報で指示された前記通信ポートの転送速度を制御することを特徴としている。
In order to solve the above-mentioned problem, the invention described in
Switching means for transferring packets transmitted from one or a plurality of terminals respectively connected to a plurality of communication ports to other terminals, packet information generating means for generating packet information relating to the transmitted packets, and the generated An information system comprising: a network device provided with packet information transmitting means for transmitting the packet information; and a traffic collection server for storing packet information transmitted from the network device,
The collection server stores index information storage means for storing index information indicating characteristics of traffic during normal operation, and traffic related to the packet information based on the stored index information and the received packet information. An abnormality determination unit that determines whether or not there is an abnormality, and an abnormality response that generates instruction information for changing the transfer speed of the communication port of the network device related to the traffic determined to be abnormal by the abnormality determination unit, and transmits the instruction information to the network device Means, and
The transfer means controls the transfer speed of the communication port indicated by the instruction information based on the instruction information from the abnormality handling means.
更に、請求項2に記載の発明は、請求項1に記載の発明において、
前記収集サーバは、前記記憶された複数のパケット情報から前記指標情報を生成し、前記指標情報記憶手段に記憶させるトラフィック解析手段を備えたことを特徴としている。
Furthermore, the invention according to
The collection server includes a traffic analysis unit that generates the index information from the stored packet information and stores the index information in the index information storage unit.
更に、請求項3に記載の発明は、請求項1又は2に記載の発明において、
前記パケット情報は、当該パケット情報を生成したネットワーク機器の識別情報、当該ネットワーク機器においてパケットが送信及び/又は受信された通信ポートの識別情報、前記パケットの送信元端末及び受信先端末の識別情報、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケット情報の生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少なくとも含むことを特徴としている。
Furthermore, the invention according to
The packet information includes identification information of a network device that has generated the packet information, identification information of a communication port in which the packet is transmitted and / or received in the network device, identification information of a transmission source terminal and a reception destination terminal of the packet, It includes at least information on a packet size of the packet, header information included in a header portion of the packet, a time stamp indicating a generation date and time of the packet information, and a protocol type of the packet.
更に、請求項4に記載の発明は、請求項1に記載の発明において
前記指標情報は、前記ネットワーク機器における特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てを含むことを特徴としている。
Furthermore, the invention according to
更に、請求項5に記載の発明は、請求項1又は4に記載の発明において
前記指標情報は、前記複数の端末のうち、特定の端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、前記特定の端末間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値の何れか又は全てを含むことを特徴としている。
Furthermore, the invention according to
更に、請求項6に記載の発明は、請求項1、4又は5に記載の発明において、
前記指標情報は、前記複数の端末間のうち、特定の端末間において予め定められた前記パケットの送信及び/又は受信に関する設定を含むことを特徴としている。
Furthermore, the invention according to claim 6 is the invention according to
The index information includes a setting related to transmission and / or reception of the packet predetermined between specific terminals among the plurality of terminals.
更に、請求項7に記載の発明は、請求項1に記載の発明において、
前記ネットワーク機器は、前記端末から送信されたパケットから一のパケットを所定のタイミング毎に抽出するパケットサンプリング手段を備え、
前記パケット情報生成手段は、前記抽出されたパケットのパケット情報を生成することを特徴としている。
Further, the invention according to claim 7 is the invention according to
The network device comprises a packet sampling means for extracting one packet from a packet transmitted from the terminal at a predetermined timing,
The packet information generation means generates packet information of the extracted packet.
請求項1に記載の発明によれば、定常運用時におけるトラフィックの特徴を示した指標情報に基づいて、ネットワーク機器から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るネットワーク機器の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。 According to the first aspect of the present invention, it is determined whether or not the traffic related to the packet information transmitted from the network device is abnormal based on the index information indicating the characteristics of the traffic during normal operation, and is determined as abnormal. The transfer speed of the communication port of the network device related to the traffic is controlled. Thereby, since it is possible to detect and respond to unauthorized access quickly and reliably, the availability of the system can be maintained.
請求項2に記載の発明によれば、指標情報を複数のパケット情報から生成する。これにより、本情報システムが適用されるネットワークのトラフィック環境に応じた指標情報を生成することができる。
According to the invention described in
請求項3に記載の発明によれば、パケット情報に、当該パケット情報を生成したネットワーク機器の識別情報、このネットワーク機器においてパケットが送信及び/又は受信された通信ポートの識別情報、パケットの送信元及び受信先端末の識別情報、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたヘッダ情報、前記パケットの生成日時を示すタイムスタンプ、前記パケットのプロトコル種別に関する情報を少なくとも含めることができる。 According to the third aspect of the present invention, the packet information includes the identification information of the network device that generated the packet information, the identification information of the communication port at which the packet is transmitted and / or received in the network device, and the transmission source of the packet And identification information of the receiving terminal, the packet size of the packet, header information included in the header of the packet, a time stamp indicating the generation date and time of the packet, and information regarding the protocol type of the packet.
請求項4に記載の発明によれば、前記ネットワーク機器における特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される前記端末の識別情報の何れか又は全てに基づいて,トラフィックが異常か否かを判断することができる。 According to the fourth aspect of the present invention, the upper limit value and / or lower limit value of the number of packets transmitted and / or received at a specific communication port in the network device, and packets are transmitted and / or received at the specific communication port. Whether or not the traffic is abnormal can be determined based on any or all of the upper limit value and / or lower limit value of the transfer rate and the identification information of the terminal connected to the specific communication port.
請求項5に記載の発明によれば、特定の端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、前記特定の端末間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値の何れか又は全てに基づいて、トラフィックが異常か否かを判断することができる。 According to the fifth aspect of the present invention, when an upper limit value and / or a lower limit value of the number of packets transmitted and / or received between specific terminals is transmitted and / or received between the specific terminals. Whether or not the traffic is abnormal can be determined based on any or all of the upper limit value and / or the lower limit value of the transfer rate.
請求項6に記載の発明によれば、複数の端末間において予め定められたパケットの送信及び/又は受信に関する設定に基づいて、トラフィックが異常か否かを判断することができる。 According to the sixth aspect of the present invention, it is possible to determine whether or not the traffic is abnormal based on a setting relating to transmission and / or reception of a predetermined packet among a plurality of terminals.
請求項7に記載の発明によれば、所定のタイミング毎に抽出した一のパケットに基づいて、パケット情報を生成することができるため、ネットワーク機器にかかる負荷を抑えることができる。 According to the seventh aspect of the present invention, since packet information can be generated based on one packet extracted at every predetermined timing, the load on the network device can be suppressed.
以下、図面を参照して本発明を実施するための最良の形態について詳細に説明する。ただし、発明の範囲は図示例に限定されないものとする。 The best mode for carrying out the present invention will be described below in detail with reference to the drawings. However, the scope of the invention is not limited to the illustrated examples.
<第1の実施形態>
まず、図1を参照して本実施形態における情報システム100の構成を説明する。なお、本実施形態における情報システム100は、プラントの稼働監視や、制御を行うプラント情報システムであるものとし、内部ネットワークLAN内のスイッチ10a、10b又は10cに接続される端末(ノード)20は、プラント内に設置されたフィールド機器や、当該フィールド機器から出力される各種プラントデータの収集や稼働監視を行うPC(Personal Computer)やサーバ等であるものとする。ここでフィールド機器とは、温度センサ、圧力センサ、流量センサ等の計測機器と、バルブ開閉器や火力調整器等の調整機器を含む意であって、当該フィールド機器により計測される計測量や、調整の度合いを示す調整量等のプロセス量がプロセスデータとして出力される。
<First Embodiment>
First, the configuration of the
図1に示すとおり、情報システム100は、内部ネットワークLANにおいてネットワークセグメントを構成し、各端末20において送信されたパケットを他の端末20に転送するとともに、当該パケットに係る統計情報を生成し送信するスイッチ10a、10b及び10c(以下、スイッチ10a、10b及び10cを総じてスイッチ10という)と、内部ネットワークLAN、外部ネットワークWAN間のパケット転送を中継するルータ30と、スイッチ10から送信された統計情報を受信し、管理するトラフィック収集サーバ40等から構成される。内部ネットワークLANと外部ネットワークWANとは、ネットワークNを介して相互に通信可能に接続されている。なお、情報システム100上での通信は、TCP/IP技術に準拠した形式で行われるものとし、その形式はIPv4、IPv6の何れかであってもよいものとする。また、IPSec(Security Architecture for Internet Protocol)等の暗号化通信がなされることとしてもよい。
As shown in FIG. 1, the
ここで、情報システム100内に含まれる各機器には、夫々固有のIPアドレスが付与されており、各機器間はTCP/IP技術に基づいて情報の送受信が可能となっている。なお、各スイッチ10内に示された矩形は当該スイッチが有する物理的な通信ポートを意味しており、矩形内の数値は各通信ポートを識別するための識別番号を意味している。
Here, each device included in the
図2は、スイッチ10の内部構成を示した図である。
同図に示すとおり、スイッチ10は、パケットサンプリング手段11、パケット情報生成手段12、パケット情報送信手段13、スイッチング手段14等を有して構成される。
FIG. 2 is a diagram illustrating an internal configuration of the switch 10.
As shown in the figure, the switch 10 includes a
パケットサンプリング手段11は、端末20から送信される複数のパケットから、一のパケットを所定のタイミング(例えば、500パケットに1パケット)で抽出(サンプリング)し、パケット情報生成手段12に出力する。なお、パケットサンプリング手段11にて抽出されなかった他のパケットに関しては、当該パケットサンプリング手段11を介してスイッチング手段14に出力されるようになっている。
The
パケット情報生成手段12は、パケットサンプリング手段11から入力されたパケットに関するパケット情報を生成しパケット情報送信手段13に出力するとともに、パケットサンプリング手段11から入力されたパケットをパケット情報送信手段13に出力する。
The packet
ここで、パケット情報はパケットのヘッダ部に含まれた情報等に基づいて生成される情報であって、当該パケット情報を生成したスイッチ10のIP(Internet Protocol)アドレス、このスイッチ10においてパケットを送信及び/又は受信した通信ポートの通信ポート識別番号、このパケットの送信元及び受信先端末のIPアドレス及びMAC(Media Access Control)アドレス、前記パケットのパケットサイズ、前記パケットのヘッダ部に含まれたIPヘッダ情報、前記パケットの生成日時を示すタイムスタンプ、前記パケットのプロトコル種別(TCP/UDPポート番号)に関する情報等を含むものとする。また、パケット情報は、スイッチ10(各通信ポート)の稼働状態を示した統計情報を含むこととしてもよい。ここで統計情報とは、SNMP(Simple Network Management Protocol)等のトラフィック監視技術に準拠したMIB(Management Information Base)等の管理情報データベースに基づいて生成される情報であって、本実施の形態では、パケット情報生成手段12により生成されるものとする。 Here, the packet information is information generated based on information included in the header portion of the packet, and the IP (Internet Protocol) address of the switch 10 that generated the packet information, and the switch 10 transmits the packet. And / or the communication port identification number of the received communication port, the IP address and MAC (Media Access Control) address of the source and destination terminals of this packet, the packet size of the packet, and the IP included in the header of the packet It includes header information, a time stamp indicating the generation date and time of the packet, information on the protocol type (TCP / UDP port number) of the packet, and the like. The packet information may include statistical information indicating the operating state of the switch 10 (each communication port). Here, the statistical information is information generated based on a management information database such as MIB (Management Information Base) conforming to traffic monitoring technology such as SNMP (Simple Network Management Protocol). In the present embodiment, It is generated by the packet information generation means 12.
パケット情報送信手段13は、パケット情報生成手段12で生成されたパケット情報をトラフィック収集サーバ40に送信するとともに、パケット情報生成手段12から入力されたパケットをスイッチング手段14に出力する。なお、上記したパケット情報の送信(収集)に係る一連の仕組みとしては、sFlow(RFC3176)やNetFlow(登録商標)等の規約に準拠した技術を用いることができる。
The packet
スイッチング手段14は、パケットサンプリング手段11及びパケット情報送信手段13から入力されたパケットのヘッダ部(イーサネット(登録商標)ヘッダ、IPヘッダ及びTCPヘッダ)に含まれる各種情報に基づいて、受信先端末へと転送する。この際に、受信先端末又は当該受信先端末に転送可能な他のスイッチに接続された通信ポートを介して転送が行われるものとする。
The switching
また、スイッチング手段14は、後述するトラフィック監視処理において、トラフィック収集サーバ40の異常対応手段47から送信される指示情報に基づいて、当該指示情報で指示された通信ポートの転送速度を制御する。
The switching
次に、図3を参照してトラフィック収集サーバ40について説明する。
図3は、トラフィック収集サーバ40の内部構成を示した図である。
同図に示すとおり、トラフィック収集サーバ40は、制御手段41、表示手段42、操作手段43、記憶手段44、トラフィック解析手段45、異常判別手段46、異常対応手段47、通信手段48等を有して構成されており、各部は制御バス49を介して接続されている。
Next, the
FIG. 3 is a diagram showing an internal configuration of the
As shown in the figure, the
制御手段41は、不図示のCPU(Central Processing Unit)、RAM(Random Access Memory)等から構成され、記憶手段44に記憶された各種制御プログラムを読み出してRAM内に形成されたワークメモリに展開し、該制御プログラムに従って、各部の動作を集中制御する。また、制御手段41は、RAMに展開した制御プログラムとの協働により、後述するトラフィック監視処理を実行する。 The control means 41 is composed of a CPU (Central Processing Unit), a RAM (Random Access Memory), etc. (not shown), reads various control programs stored in the storage means 44, and develops them in a work memory formed in the RAM. The operation of each unit is centrally controlled according to the control program. Further, the control means 41 executes a traffic monitoring process to be described later in cooperation with a control program developed in the RAM.
表示手段42は、LCD(Liquid Crystal Display)やELD(Electro Luminescence Display)パネル等により構成され、制御手段41から入力される表示データに基づいて画面表示を行う。 The display means 42 is configured by an LCD (Liquid Crystal Display), an ELD (Electro Luminescence Display) panel, or the like, and performs screen display based on display data input from the control means 41.
操作手段43は、文字入力キー,数字入力キーその他各種機能に対応付けられたキーを備えたキーボード、マウス等を含み、ユーザによる操作に応じた操作信号を制御手段41に出力する。
The
記憶手段44は、プログラムやデータ等が予め記憶された記録媒体(不図示)を有し、この記録媒体は磁気的、光学的記録媒体、若しくは半導体等の不揮発性メモリで構成されている。記録媒体は、記憶手段44に固定的に設けたもの、若しくは着脱自在に装着するものであり、記録媒体にはトラフィック収集サーバ40に対応するシステムプログラム、該システムプログラム上で実行可能な各種処理プログラム、これらのプログラムで処理されたデータ等を記憶する。これらの各処理プログラムは、読み取り可能なプログラムコードの形態で格納され、制御手段41は、当該プログラムコードに従った動作を逐次実行する。
The storage means 44 has a recording medium (not shown) in which programs, data, and the like are stored in advance, and this recording medium is constituted by a magnetic or optical recording medium or a nonvolatile memory such as a semiconductor. The recording medium is fixedly provided in the storage means 44 or detachably mounted. The recording medium includes a system program corresponding to the
また、記憶手段44の記憶媒体には、スイッチ10から送信されたパケット情報を、記憶・管理するためのデータベース441が構築されており、当該データベース441にパケット情報に含まれる各種情報が記憶(格納)される。なお、本実施の形態では、データベース441をトラフィック収集サーバ40内に備えた態様としたが、これに限らず、トラフィック収集サーバ40が接続可能な外部記憶手段にデータベース441を構築することとしてもよい。さらに、記憶手段44は、その記憶媒体に、トラフィック解析手段45により生成される指標情報442を記憶する。
In addition, a
トラフィック解析手段45は、データベース441に記憶された複数のパケット情報を、統計的手法を用いて解析することにより、定常運用時におけるトラフィック(通信)の特徴を導出する。ここで、定常運用時とは、情報システム100内において、各装置により予め定められた動作(通信)が正常に行われた時を意味する。
The traffic analysis means 45 derives the characteristics of traffic (communication) during steady operation by analyzing a plurality of packet information stored in the
具体的に、トラフィック解析手段45は、パケット情報に含まれた各種情報に基づいて、特定の通信ポートにおいて送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の通信ポートにおいてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値、特定の通信ポートに接続される端末20のMACアドレス及び/又はIPアドレス等の、定常運用時におけるスイッチ10の通信ポートに関する情報を定常運用時におけるトラフィックの特徴として導出する。 Specifically, the traffic analysis means 45 determines the upper limit value and / or lower limit value of the number of packets transmitted and / or received at a specific communication port based on various information included in the packet information, at the specific communication port. The upper limit value and / or lower limit value of the transfer rate when a packet is transmitted and / or received, the MAC address and / or IP address of the terminal 20 connected to a specific communication port, etc. Information related to communication ports is derived as traffic characteristics during normal operation.
また、トラフィック解析手段45は、パケット情報に含まれた各種情報に基づいて、特定の端末を示すMACアドレス又はIPアドレス間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、特定の端末を示すMACアドレス又はIPアドレス間においてパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値等の、定常運用時における通信フローに関する情報を定常運用時におけるトラフィックの特徴として導出する。 Further, the traffic analysis means 45 is based on various information included in the packet information, and an upper limit value and / or a lower limit value of the number of packets transmitted and / or received between the MAC address or IP address indicating a specific terminal, Information on the communication flow during normal operation, such as the upper limit value and / or lower limit value of the transfer rate when a packet is transmitted and / or received between a MAC address or IP address indicating a specific terminal. Derived as a feature of
さらに、トラフィック解析手段45は、導出された定常運用時におけるトラフィック特徴を含んだ指標情報442を生成し、この指標情報442を記憶手段44の記憶媒体に記憶させる。ここで指標情報442には、導出された種々の特徴が、当該特徴の諸条件(例えば、スイッチ10のIPアドレス、通信ポート識別番号、端末20のIPアドレス、MACアドレス等)と対応づけて記憶されているものとする。
Further, the
また、内部ネットワークLANにおいて、特定の端末20間で所定のトラフィックが発生することが予定されているような場合には、このパケットの送信及び/又は受信に関する設定を指標情報442に含めることとしてもよい。例えば、特定の端末20間において、所定の間隔(例えば、1分間に1回)で通信が必ず行われることが予定されているような場合、この特定の端末を示すMACアドレス又はIPアドレス間での通信を許可する旨の設定、当該端末間で送信及び/又は受信されるパケット数の上限値及び/又は下限値、当該端末間でパケットが送信及び/又は受信される際の転送速度の上限値及び/又は下限値等を指標情報442に含めることができる。
In addition, in the internal network LAN, in a case where predetermined traffic is scheduled to occur between
なお、上記した指標情報442に含まれる各種情報の閾値(上限値及び/又は下限値)は、内部ネットワークLANの可用性の維持に影響を与えると想定される値が設定されることが好ましい。
In addition, it is preferable that the threshold value (upper limit value and / or lower limit value) of various information included in the
異常判別手段46は、記憶手段44の記録媒体に記憶された指標情報442と、後述する通信手段48を介して受信されたパケット情報と、を比較することにより当該パケット情報に係るトラフィックが異常か否かを判別する。なお、本実施の形態では、異常判別手段46の機能を、制御手段41と記憶手段44の記録媒体に予め記憶された所定のプログラムとの協働により実現させることとするが、ASIC(Application Specific Integrated Circuit)等の専用回路により実現させる態様としてもよい。
The
異常対応手段47は、異常判別手段46により異常と判別されたトラフィックに係るスイッチ10の通信ポートの転送速度を変更する指示情報を生成し、当該スイッチ10に送信する。ここで、スイッチ10の転送速度を変更する手段としては、diffserv、IEEE802.lq、IPフィルタ等を用いることができる。なお、本実施の形態では、異常対応手段47の機能を、制御手段41と記憶手段44の記録媒体に予め記憶された所定のプログラムとの協働により実現させることとするが、ASIC等の専用回路により実現させる態様としてもよい。
The
通信手段48は、ルータやTA(Terminal Adapter)、LANアダプタ等によって構成され、スイッチ10との間で授受される各種情報の通信制御を行う。
The
次に、図4のフローチャートを参照して、スイッチ10で行われるパケット転送処理について説明する。
まず、一又は複数の端末20からパケットが夫々送信され、このパケットが通信ポートを介して受信されると(ステップS11)、パケットサンプリング手段11により、複数のパケットから一のパケットが所定のタイミング毎に抽出される(ステップS12)。
Next, packet transfer processing performed by the switch 10 will be described with reference to the flowchart of FIG.
First, a packet is transmitted from one or a plurality of
ここで、パケットサンプリング手段11によりパケットの抽出が行われた場合には(ステップS13;Yes)、パケット情報生成手段12により当該パケットに関するパケット情報が生成された後(ステップS14)、このパケット情報がパケット情報送信手段13によりトラフィック収集サーバ40に送信される(ステップS15)。そして、パケットのヘッダ部に含まれた各種情報に基づいて、このパケットがスイッチング手段14により受信先端末へと転送され(ステップS16)、本処理は終了する。
Here, when the
一方、パケットサンプリング手段11によりパケットが抽出されなかった場合には(ステップS13;No)、当該パケットのヘッダ部に含まれた各種情報に基づいて、このパケットがスイッチング手段14により受信先端末へと転送され(ステップS16)、本処理は終了する。 On the other hand, when a packet is not extracted by the packet sampling means 11 (step S13; No), this packet is sent to the receiving terminal by the switching means 14 based on various information included in the header part of the packet. The process is terminated (step S16).
次に、図5を参照して、トラフィック収集サーバ40で行われるトラフィック監視処理について説明する。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の通信ポートにおいて受信されるパケット数の上限値(thresh_p(PPS:Packet Per Second))及び特定の通信ポートにおいてパケットが受信される際の転送速度の上限値(thresh_b(BPS:Bits Per Second))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。
Next, a traffic monitoring process performed by the
まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS21)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、このパケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS22)、この通信ポートが受信したパケット数(Pkts_IN(PPS))及びパケットを受信した際の転送速度(Bytes_IN(BPS))に関する情報が取得される(ステップS23)。 First, when the packet information transmitted from the switch 10 is received via the communication means 48 (step S21), the IP address of the switch 10 from which the packet information is generated and the packet related to the packet information are received from the packet information. Is acquired (step S22), the number of packets received by this communication port (Pkts_IN (PPS)), and the transfer rate when the packets are received (Bytes_IN (BPS)) The information regarding is acquired (step S23).
次いで、ステップS22で取得されたスイッチ10のIPアドレス通信ポートの通信ポート識別番号に対応するパケット数の上限値(thresh_p)及び転送速度の上限値(thresh_b)が指標情報442から読み出されて(ステップS24)、パケット数(Pkts_IN)とパケット数の上限値(thresh_p)、転送速度(Bytes_IN)と転送速度の上限値(thresh_b)が夫々比較される(ステップS25)。 Next, the upper limit value (thresh_p) and the upper limit value (thresh_b) of the transfer rate corresponding to the communication port identification number of the IP address communication port of the switch 10 acquired in step S22 are read from the index information 442 ( In step S24, the number of packets (Pkts_IN) and the upper limit value (thresh_p) of the packet number, the transfer rate (Bytes_IN), and the upper limit value (thresh_b) of the transfer rate are respectively compared (step S25).
ここで、パケット数情報(Pkts_IN)がパケット数の上限値(thresh_p)以下で、且つ、転送速度情報(Bytes_IN)が転送速度の上限値(thresh_b)以下と判定された場合には(ステップS25;Yes)、本処理は終了する。 Here, when it is determined that the packet number information (Pkts_IN) is equal to or less than the upper limit value (thresh_p) of the packet number and the transfer rate information (Bytes_IN) is equal to or less than the upper limit value (thresh_b) of the transfer rate (step S25; Yes), this process ends.
一方、ステップS25において、パケット数(Pkts_IN)がパケット数の上限値(thresh_p)を上回る、或いは転送速度(Bytes_IN)が転送速度の上限値(thresh_b)を上回ると判定された場合には(ステップS25;No)、このパケット情報に係るトラフィックが異常と判別される(ステップS26)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS27)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS28)、本処理は終了する。 On the other hand, if it is determined in step S25 that the number of packets (Pkts_IN) exceeds the upper limit value (thresh_p) of the number of packets or the transfer rate (Bytes_IN) exceeds the upper limit value (thresh_b) of the transfer rate (step S25). No), it is determined that the traffic related to the packet information is abnormal (step S26). Then, instruction information for suppressing or stopping the transfer speed (transfer band) of the communication port is transmitted to the switch 10 having the communication port related to the traffic determined to be abnormal (step S27). ), A screen for notifying that unauthorized access has been made from the terminal 20 connected to the communication port of the switch 10 is displayed on the display means 42 (step S28), and this process ends.
このように、スイッチ10の通信ポートに関する情報に基づいてパケット情報に係るトラフィックの異常判別を行うため、特定の端末20から定常運用時の上限値を上回るパケット数が送信された場合や、定常運用時の上限値を上回る転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知を迅速且つ確実に行うことができる。
As described above, in order to determine the abnormality of the traffic related to the packet information based on the information about the communication port of the switch 10, when the number of packets exceeding the upper limit value in the normal operation is transmitted from the
以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。
As described above, according to the present embodiment, whether or not the traffic related to the packet information transmitted from the switch 10 is abnormal is determined based on the
<第2の実施形態>
次に、情報システム100の第2の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。
<Second Embodiment>
Next, a second embodiment of the
図6は、本実施形態のトラフィック収集サーバ40で行われるトラフィック監視処理の手順を示した図である。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の通信ポートに接続される端末20のMACアドレス(MAC_RefAddr)及びIPアドレス(IP_RefAddr)、特定の通信ポートにおいて受信されるパケット数の下限値(thresh_min_p(PPS)、特定の通信ポートにおいてパケットが受信される際の転送速度の下限値(thresh_min_b(BPS))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。
FIG. 6 is a diagram showing a procedure of traffic monitoring processing performed in the
まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS31)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、当該パケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS32)、この通信ポートに接続された端末のMACアドレス(MAC_Addr)、IPアドレス(IP_Addr)及び当該通信ポートにおいて受信されたパケット数(Pkts_IN)及び転送速度(Bytes_IN)に関する情報が取得される(ステップS33)。 First, when the packet information transmitted from the switch 10 is received via the communication means 48 (step S31), the IP address of the switch 10 from which the packet information is generated and the packet related to the packet information from the packet information. Is acquired (step S32), the MAC address (MAC_Addr) of the terminal connected to this communication port, the IP address (IP_Addr), and the packet received at the communication port Information about the number (Pkts_IN) and the transfer rate (Bytes_IN) is acquired (step S33).
次いで、ステップS32で取得されたスイッチ10のIPアドレス及び通信ポートの通信ポート識別番号に対応する規定のMACアドレス(MAC_RefAddr)、規定のIPアドレス(IP_RefAddr)、パケット数の下限値(thresh_min_p)、転送速度の下限値(thresh_min_b)が、指標情報442から読み出される(ステップS34)。 Next, the specified MAC address (MAC_RefAddr), the specified IP address (IP_RefAddr), the lower limit value of the number of packets (thresh_min_p), the transfer, corresponding to the IP address of the switch 10 and the communication port identification number of the communication port acquired in step S32 A lower limit value (thresh_min_b) of the speed is read from the index information 442 (step S34).
続いて、両MACアドレス(MAC_Addr)と(MAC_RefAddr)との値が一致するか否かが判定され、一致しないと判定された場合には(ステップS35;No)、ステップS39へと移行する。 Subsequently, it is determined whether or not the values of both MAC addresses (MAC_Addr) and (MAC_RefAddr) match each other. If it is determined that they do not match (step S35; No), the process proceeds to step S39.
一方、ステップS35において両MACアドレスが一致すると判定された場合には(ステップS35;Yes)、ステップS36へと移行し、両IPアドレス(IP_Addr)と(IP_RefAddr)との値が一致するか否かが判定され、一致しないと判定された場合には(ステップS36;No)、ステップS39へと移行する。 On the other hand, if it is determined in step S35 that both MAC addresses match (step S35; Yes), the process proceeds to step S36, and whether or not the values of both IP addresses (IP_Addr) and (IP_RefAddr) match. Is determined, and when it is determined that they do not match (step S36; No), the process proceeds to step S39.
一方、ステップS36において、両IPアドレスが一致すると判定された場合には)ステップS36;Yes)、ステップS37へと移行し、パケット数(Pkts_IN)とパケット数の下限値(thresh_min_p)、転送速度(Bytes_IN)と転送速度の下限値(thresh_min_b)が夫々比較される(ステップS37)。ここで、パケット数(Pkts_IN)がパケット数の下限値(thresh_min_p)以上で、且つ、転送速度(Bytes_IN)が転送速度の下限値(thresh_MIN_b)以上と判定された場合には(ステップS37;Yes)、本処理は終了する。 On the other hand, if it is determined in step S36 that both IP addresses match (step S36; Yes), the process proceeds to step S37, where the number of packets (Pkts_IN), the lower limit of the number of packets (thresh_min_p), and the transfer rate ( Bytes_IN) and the lower limit value (thresh_min_b) of the transfer rate are respectively compared (step S37). Here, when it is determined that the number of packets (Pkts_IN) is equal to or greater than the lower limit (thresh_min_p) of the number of packets and the transfer rate (Bytes_IN) is equal to or greater than the lower limit of the transfer rate (thresh_MIN_b) (step S37; Yes). This process ends.
また、ステップS37において、パケット数(Pkts_IN)がパケット数の下限値(thresh_min_p)を下回る、或いは転送速度(Bytes_IN)が転送速度の下限値(thresh_min_b)を下回ると判定された場合には(ステップS37;No)、ステップS38へと移行する。 In step S37, when it is determined that the number of packets (Pkts_IN) is lower than the lower limit value (thresh_min_p) of the number of packets, or the transfer rate (Bytes_IN) is lower than the lower limit value (thresh_min_b) of the transfer rate (step S37). No), the process proceeds to step S38.
ステップS38では、ステップS35、ステップS36又はステップS37で判定されたパケット情報に係るトラフィックが異常と判別される(ステップS38)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS39)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS40)、本処理は終了する。 In step S38, it is determined that the traffic related to the packet information determined in step S35, step S36, or step S37 is abnormal (step S38). Then, instruction information for suppressing or stopping the transfer speed (transfer band) of the communication port is transmitted to the switch 10 having the communication port related to the traffic determined to be abnormal (step S39). ), A screen for notifying that unauthorized access has been made from the terminal 20 connected to the communication port of the switch 10 is displayed on the display means 42 (step S40), and this process ends.
このように、スイッチ10の通信ポートに関する情報に基づいてパケット情報に係るトラフィックの異常判別を行うため、特定の端末20から定常運用時の上限値を上回るパケット数が送信された場合や、定常運用時の上限値を上回る転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知及び対応を迅速且つ確実に行うことができる。
As described above, in order to determine the abnormality of the traffic related to the packet information based on the information about the communication port of the switch 10, when the number of packets exceeding the upper limit value in the normal operation is transmitted from the
なお、上記したトラフィック監視処理において統計情報が取得されるスイッチ10(スイッチ10a、10b及び10c)は、所定の順序で順次取得される態様としてもよいし、全てのスイッチ10に対して同時に取得が行われる態様としてもよい。また、統計情報の取得が行われるタイミングは任意の設定可能であるものとする。
Note that the switches 10 (
以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。
なお、ステップS35、ステップS36、ステップS37の判定処理の順序は、上記例に限らないものとし、任意の順序で行うことが可能であるものとする。
As described above, according to the present embodiment, whether or not the traffic related to the packet information transmitted from the switch 10 is abnormal is determined based on the
Note that the order of the determination processes in step S35, step S36, and step S37 is not limited to the above example, and can be performed in any order.
<第3の実施形態>
次に、情報システム100の第3の実施形態について説明する。なお、説明の簡略化のため、上述した第1の実施形態と同一要素については同符号を付し、その詳細な説明は適宜省略する。
<Third Embodiment>
Next, a third embodiment of the
図7は、本実施形態のトラフィック収集サーバ40で行われるトラフィック監視処理の手順を示した図である。本実施形態のトラフィック監視処理は、指標情報442に含まれた特定の端末(IPアドレス;IP_RefAddr)間で送信及び/又は受信されるパケット数の下限値と上限値との間の範囲を示す閾値(thresh_p_flow(PPS))、特定の端末間においてパケットが受信される際の転送速度の下限値と上限値との間の範囲を示す閾値(thresh_b_Flow(BPS))に基づいて行われる。なお、本トラフィック監視処理の各処理は、制御手段41と、不図示のRAMに展開された所定のプログラムとの協働により実行される処理を示している。
FIG. 7 is a diagram showing a procedure of traffic monitoring processing performed in the
まず、スイッチ10から送信されたパケット情報が通信手段48を介して受信されると(ステップS51)、このパケット情報から、当該パケット情報が生成されたスイッチ10のIPアドレス、当該パケット情報に係るパケットが受信された通信ポートの通信ポート識別番号が取得されるとともに(ステップS52)、このパケット情報に係るパケットの送信元端末及び/又は受信先端末のIPアドレス(IP_Addr)、パケット数(Pkts_Flow(PPS))、転送速度(Bytes_Flow(BPS))に関する情報が取得される(ステップS53)。 First, when the packet information transmitted from the switch 10 is received via the communication means 48 (step S51), the IP address of the switch 10 from which the packet information is generated and the packet related to the packet information are received from the packet information. Is acquired (step S52), the IP address (IP_Addr) and the number of packets (Pkts_Flow (PPS) of the source terminal and / or destination terminal of the packet related to the packet information are acquired. )), Information on the transfer rate (Bytes_Flow (BPS)) is acquired (step S53).
次いで、ステップS52で取得されたIPアドレス(IP_Addr)の端末によるパケットの送信及び/又は受信が許可されているか否かが指標情報442に基づいて判定され、許可されていないと判定された場合には(ステップS54;No)、ステップS57へと移行する。
Next, whether or not transmission and / or reception of a packet by the terminal having the IP address (IP_Addr) acquired in step S52 is permitted is determined based on the
一方、ステップS54において、許可されていると判定された場合には(ステップS54;Yes)、このIPアドレス(IP_Addr)の端末間において送受信されるパケット数の閾値(thresh_p_flow)、転送速度の閾値(thresh_b_Flow)が指標情報442から読み出され(ステップS55)、パケット数(Pkts_Flow)とパケット数の閾値(thresh_flow)、転送速度(Bytes_Flow)と転送速度の閾値(thresh_b_Flow)が夫々比較される(ステップS56)。ここで、パケット数(Pkts_Flow)がパケット数の閾値(thresh_p_flow)の範囲内に適合し、且つ、転送速度(Bytes_Flow)が転送速度の閾値(thresh_b_Flow)の範囲内に適合すると判定された場合には(ステップS56;Yes)、本処理は終了する On the other hand, if it is determined in step S54 that it is permitted (step S54; Yes), the threshold of the number of packets transmitted and received between the terminals of this IP address (IP_Addr) (thresh_p_flow), the threshold of the transfer rate ( thresh_b_Flow) is read from the index information 442 (step S55), and the number of packets (Pkts_Flow), the threshold of the number of packets (thresh_flow), the transfer rate (Bytes_Flow), and the threshold of the transfer rate (thresh_b_Flow) are compared (step S56). ). Here, when it is determined that the number of packets (Pkts_Flow) is within the range of the threshold of the number of packets (thresh_p_flow) and the transfer rate (Bytes_Flow) is within the range of the threshold of the transfer rate (thresh_b_Flow) (Step S56; Yes), this process ends.
また、ステップS56において、パケット数(Pkts_Flow)がパケット数の閾値(thresh_p_flow)の範囲内に適合しない、或いは転送速度(Bytes_Flow)が転送速度の閾値(thresh_b_Flow)の範囲内に適合しないと判定された場合には(ステップS56;No)、ステップS57へと移行する。 In step S56, it is determined that the number of packets (Pkts_Flow) does not fit within the threshold of the number of packets (thresh_p_flow), or the transfer rate (Bytes_Flow) does not fit within the range of the transfer rate threshold (thresh_b_Flow). In the case (Step S56; No), the process proceeds to Step S57.
ステップS57では、ステップS54又はステップS56で判定されたパケット情報に係るトラフィックが異常と判別される(ステップS57)。そして、この異常と判別されたトラフィックに係る通信ポートを備えたスイッチ10に対して、この通信ポートの転送速度(転送帯域)を抑制或いは停止させる指示情報がスイッチ10に送信されるとともに(ステップS58)、このスイッチ10の通信ポートに接続された端末20から不正なアクセスが行われた旨を報知する画面が表示手段42に表示されて(ステップS59)、本処理は終了する。 In step S57, it is determined that the traffic related to the packet information determined in step S54 or S56 is abnormal (step S57). Then, instruction information for suppressing or stopping the transfer rate (transfer band) of the communication port is transmitted to the switch 10 having the communication port related to the traffic determined to be abnormal (step S58). ) A screen notifying that unauthorized access has been made from the terminal 20 connected to the communication port of the switch 10 is displayed on the display means 42 (step S59), and this process ends.
このように、内部ネットワークLAN内において予め定められた各端末20のトラフィック特性に基づいてトラフィックの異常判別を行うため、所定の端末20間以外でパケットの送受信が行われた場合や、所定の端末20間において定常運用時の閾値を超えるパケット数が送信された場合、所定の端末20間において定常運用時の閾値を超える転送速度が確認された場合に、この通信に係るトラフィックを異常と判別できるため、不正アクセスの検知及び対応を迅速且つ確実に行うことができる。
In this way, in order to determine traffic abnormality based on the traffic characteristics of each terminal 20 determined in advance within the internal network LAN, when packets are transmitted / received between other than the
以上のように、本実施形態によれば、定常運用時におけるトラフィックの特徴を示した指標情報442に基づいて、スイッチ10から送信されたパケット情報に係るトラフィックが異常か否かを判別し、異常と判別したトラフィックに係るスイッチ10の通信ポートの転送速度を制御する。これにより、不正アクセスの検知及び対応を迅速且つ確実に行うことが可能であるため、システムの可用性を維持することができる。
As described above, according to the present embodiment, whether or not the traffic related to the packet information transmitted from the switch 10 is abnormal is determined based on the
なお、上述した第1の実施形態〜第3の実施形態のトラフィック監視処理は、送受信されるパケット数、転送速度がある程度一様であり、また特定の端末間においてのみパケットが送受信されるような静的なトラフィック環境を有するプラント情報システムにおいて特に好適である。なお、第1の実施形態〜第3の実施形態のトラフィック監視処理の全てがトラフィック収集サーバ40で実行されることとしてもよい。また、トラフィック監視処理におけるトラフィックの異常判別方法に関しては、情報システム100のシステム構成に適合する任意の条件を適宜追加、変更することが可能であるものとする。
The traffic monitoring processing of the first to third embodiments described above is such that the number of packets to be transmitted and received and the transfer rate are uniform to some extent, and packets are transmitted and received only between specific terminals. It is particularly suitable for a plant information system having a static traffic environment. Note that all the traffic monitoring processes of the first to third embodiments may be executed by the
本発明の適用は、上述した例に限らず、本発明の趣旨を逸脱しない範囲で適宜変更可能である。 The application of the present invention is not limited to the example described above, and can be changed as appropriate without departing from the spirit of the present invention.
例えば、上記実施形態では、トラフィック収集サーバ40がトラフィック解析手段45、異常判別手段46及び異常対応手段47を備えた態様を説明したが、これに限らず、トラフィック収集サーバ40のデータベース441に接続可能な他の装置が、トラフィック解析手段45、異常判別手段46、異常対応手段47の何れか又は全てを備える態様としてもよい。
例えば、図8に示すように、複数の内部ネットワークLAN1〜3の夫々に、トラフィック解析手段45及び異常判別手段46を備えたトラフィック収集サーバ40を設置し、各トラフィック収集サーバ40の異常判別手段46から送信されるトラフィックの異常を示す異常判別情報を外部ネットワークWANの遠隔監視装置50が送信可能な構成としてもよい。この場合、遠隔監視装置50に異常対応手段47を備えることで、異常判別手段46から送信された異常判別情報に応じて内部ネットワークLAN1〜3に接続されたスイッチ10(不図示)の転送速度を遠隔的に変更することが可能となる。
For example, in the above embodiment, the aspect in which the
For example, as shown in FIG. 8, a
これにより、上記実施の形態と同様の効果を奏するのはもちろんのこと、複数の内部ネットワークLANサイトを外部ネットワークWANから同時に監視することができるため、トラフィック監視に係るコストを削減することが可能となる。特に、プラント制御に係るプラント情報システムにおいては、IPネットワーク技術に関する専門家も少なく、また、プラント運営にとっても非競争領域であることから専門家を育てることのインセンティブが働きにくいという実情がある。そのため、遠隔的に異常監視が行うことができれば、トラフィック監視業務のアウトソーシングが可能となるため、プラント運営側にとってはコストの削減、トラフィック監視業務側にとっては新たなサービス業務の提携が可能になるという効果を奏する。 As a result, the same effects as in the above embodiment can be obtained, and a plurality of internal network LAN sites can be simultaneously monitored from the external network WAN, so that the cost for traffic monitoring can be reduced. Become. In particular, in plant information systems related to plant control, there are few specialists related to IP network technology, and there is a fact that incentives for training specialists are difficult to work because it is a non-competitive area for plant operation. Therefore, if anomaly monitoring can be performed remotely, it will be possible to outsource the traffic monitoring business, which will enable cost reduction for the plant operation side and new service business alliance for the traffic monitoring business side. There is an effect.
また、上記実施の形態では、スイッチ10のみが統計情報を生成し送信する態様としたが、これに限らず、ルータ30等の他のネットワーク機器が、パケットサンプリング手段11、パケット情報生成手段12及びパケット情報送信手段13を備えることで、他のネットワーク機器が統計情報の生成、送信を行う態様としてもよい。例えば、図9に示すように、無線通信により内部ネットワークLAN内に接続された各機器との通信を可能にせしめる無線基地局60が内部ネットワークLANに接続されているような場合には、この無線基地局60に、当該無線基地局60と無線通信可能な端末との間で授受される通信の統計情報を生成可能な機能を備えることが好ましい。
In the above embodiment, only the switch 10 generates and transmits the statistical information. However, the present invention is not limited to this, and other network devices such as the
また、IPSec等の暗号化通信でパケットの送受信が行われる場合、通信ポート識別番号は暗号化されてしまうが、IPv4ヘッダのTOS(Type Of Service)フィールドや、IPv6ヘッダのTraffic Classフィールドを利用し、このフィールドに通信ポート識別番号を格納してパケットを送信することで、トラフィック収集サーバ40にて通信ポート識別番号を識別することが可能となる。
In addition, when packets are transmitted and received by encrypted communication such as IPSec, the communication port identification number is encrypted, but the TOS (Type Of Service) field of the IPv4 header and the Traffic Class field of the IPv6 header are used. By storing the communication port identification number in this field and transmitting the packet, the
100 情報システム
10 スイッチ
11 パケットサンプリング手段
12 パケット情報生成手段
13 パケット情報送信手段
14 スイッチング手段
20 端末
30 ルータ
40 トラフィック収集サーバ
41 制御手段
42 表示手段
43 操作手段
44 記憶手段
441 データベース
442 指標情報
45 トラフィック解析手段
46 異常判別手段
47 異常対応手段
48 通信手段
49 制御バス
50 遠隔監視装置
60 無線基地局
FW ファイアウォール
LAN、LAN1、LAN2、LAN3 内部ネットワーク
WAN 外部ネットワーク
DESCRIPTION OF
Claims (7)
前記収集サーバは、定常運用時におけるトラフィックの特徴を示した指標情報を記憶する指標情報記憶手段と、前記記憶された指標情報と前記受信されたパケット情報とに基づいて当該パケット情報に係るトラフィックが異常か否かを判別する異常判別手段と、前記異常判別手段により異常と判別されたトラフィックに係るネットワーク機器の通信ポートの転送速度を変更する指示情報を生成し、当該ネットワーク機器に送信する異常対応手段と、を備え、
前記転送手段は、前記異常対応手段からの指示情報に基づいて、当該指示情報で指示された前記通信ポートの転送速度を制御することを特徴とする情報システム。 Switching means for transferring packets transmitted from one or a plurality of terminals respectively connected to a plurality of communication ports to other terminals, packet information generating means for generating packet information relating to the transmitted packets, and the generated An information system comprising: a network device provided with packet information transmitting means for transmitting the packet information; and a traffic collection server for storing packet information transmitted from the network device,
The collection server stores index information storage means for storing index information indicating characteristics of traffic during normal operation, and traffic related to the packet information based on the stored index information and the received packet information. An abnormality determination unit that determines whether or not there is an abnormality, and an abnormality response that generates instruction information for changing the transfer speed of the communication port of the network device related to the traffic determined to be abnormal by the abnormality determination unit, and transmits the instruction information to the network device Means, and
The transfer means controls the transfer speed of the communication port indicated by the instruction information based on the instruction information from the abnormality handling means.
前記パケット情報生成手段は、前記抽出されたパケットのパケット情報を生成することを特徴とする請求項1に記載の情報システム。 The network device comprises a packet sampling means for extracting one packet from a packet transmitted from the terminal at a predetermined timing,
The information system according to claim 1, wherein the packet information generation unit generates packet information of the extracted packet.
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005259359A JP2007074383A (en) | 2005-09-07 | 2005-09-07 | Information system |
PCT/JP2006/312236 WO2007029396A1 (en) | 2005-09-07 | 2006-06-19 | Information system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2005259359A JP2007074383A (en) | 2005-09-07 | 2005-09-07 | Information system |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2007074383A true JP2007074383A (en) | 2007-03-22 |
Family
ID=37835527
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005259359A Pending JP2007074383A (en) | 2005-09-07 | 2005-09-07 | Information system |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP2007074383A (en) |
WO (1) | WO2007029396A1 (en) |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009017393A (en) * | 2007-07-06 | 2009-01-22 | Ntt Docomo Inc | Traffic monitoring system |
JP2010011382A (en) * | 2008-06-30 | 2010-01-14 | Fujitsu Ltd | Communication device and communication method |
JP2014060722A (en) * | 2012-09-18 | 2014-04-03 | Kddi Corp | System and method for correlating historical attacks with diverse indicators to generate indicator profiles of attacks for detecting and predicting future network attacks |
EP2991272A1 (en) | 2014-08-27 | 2016-03-02 | Yokogawa Electric Corporation | Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium |
US10397248B2 (en) | 2015-09-15 | 2019-08-27 | Fujitsu Limited | Method and apparatus for monitoring network |
JP2020053928A (en) * | 2018-09-28 | 2020-04-02 | アズビル株式会社 | Unauthorized access monitoring device and method |
JP2021503191A (en) * | 2018-10-01 | 2021-02-04 | コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation | L2 switch for network security and remote monitoring control system using it |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CA2297341A1 (en) * | 1999-08-18 | 2001-02-18 | Alma-Baba Technical Research Laboratory Co., Ltd. | System for monitoring network for cracker attack |
JP3731111B2 (en) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | Intrusion detection device and system and router |
JP2004282262A (en) * | 2003-03-13 | 2004-10-07 | Mitsubishi Electric Corp | Load attack guard apparatus |
JP4341413B2 (en) * | 2003-07-11 | 2009-10-07 | 株式会社日立製作所 | PACKET TRANSFER APPARATUS HAVING STATISTICS COLLECTION APPARATUS AND STATISTICS COLLECTION METHOD |
JP2005223847A (en) * | 2004-02-09 | 2005-08-18 | Intelligent Cosmos Research Institute | Network abnormality detecting device and method, and network abnormality detecting program |
-
2005
- 2005-09-07 JP JP2005259359A patent/JP2007074383A/en active Pending
-
2006
- 2006-06-19 WO PCT/JP2006/312236 patent/WO2007029396A1/en active Application Filing
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009017393A (en) * | 2007-07-06 | 2009-01-22 | Ntt Docomo Inc | Traffic monitoring system |
JP2010011382A (en) * | 2008-06-30 | 2010-01-14 | Fujitsu Ltd | Communication device and communication method |
JP2014060722A (en) * | 2012-09-18 | 2014-04-03 | Kddi Corp | System and method for correlating historical attacks with diverse indicators to generate indicator profiles of attacks for detecting and predicting future network attacks |
EP2991272A1 (en) | 2014-08-27 | 2016-03-02 | Yokogawa Electric Corporation | Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium |
US10104014B2 (en) | 2014-08-27 | 2018-10-16 | Yokogawa Electric Corporation | Data transferring system, data transferring method, controller, controlling method, and non-transitory computer readable storage medium |
US10397248B2 (en) | 2015-09-15 | 2019-08-27 | Fujitsu Limited | Method and apparatus for monitoring network |
JP2020053928A (en) * | 2018-09-28 | 2020-04-02 | アズビル株式会社 | Unauthorized access monitoring device and method |
JP7125317B2 (en) | 2018-09-28 | 2022-08-24 | アズビル株式会社 | UNAUTHORIZED ACCESS MONITORING DEVICE AND METHOD |
JP2021503191A (en) * | 2018-10-01 | 2021-02-04 | コリア ウォーター リソーシ コーポレーションKorea Water Resources Corporation | L2 switch for network security and remote monitoring control system using it |
Also Published As
Publication number | Publication date |
---|---|
WO2007029396A1 (en) | 2007-03-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP1964366B1 (en) | Methods and devices for defending a 3g wireless network against malicious attacks | |
Xue et al. | Linkscope: Toward detecting target link flooding attacks | |
US8584237B2 (en) | Improper communication detection system | |
JP4827972B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US20150067764A1 (en) | Whitelist-based network switch | |
WO2016172055A1 (en) | Network security analysis for smart appliances | |
JP2007074383A (en) | Information system | |
JP5017440B2 (en) | Network control apparatus and control method thereof | |
EP1906591A2 (en) | Method, device and system for detecting layer 2 loop | |
KR100947211B1 (en) | System for active security surveillance | |
Segura et al. | Centralized and distributed intrusion detection for resource-constrained wireless SDN networks | |
EP3286650B1 (en) | Network security analysis for smart appliances | |
WO2020027250A1 (en) | Infection spread attack detection device, attack origin specification method, and program | |
Giachoudis et al. | Collaborative agent-based detection of DDoS IoT botnets | |
WO2020132949A1 (en) | Industrial control system monitoring method, device and system, and computer-readable medium | |
US20110141899A1 (en) | Network access apparatus and method for monitoring and controlling traffic using operation, administration, and maintenance (oam) packet in internet protocol (ip) network | |
KR20220029142A (en) | Sdn controller server and method for analysing sdn based network traffic usage thereof | |
US20210234871A1 (en) | Infection-spreading attack detection system and method, and program | |
JP2007074385A (en) | Network apparatus | |
JP2008079138A (en) | Communication monitoring system, flow collection apparatus, analysis manager apparatus, and program | |
Matoušek et al. | Security monitoring of iot communication using flows | |
Heigl et al. | A resource-preserving self-regulating Uncoupled MAC algorithm to be applied in incident detection | |
KR101448091B1 (en) | Wireless Sensor Network Security Method with Security Attack Detection and Security System using the same | |
JP4421462B2 (en) | Intrusion detection system and management device | |
KR101021697B1 (en) | Method detecting botnet attack |